La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Diagnóstico TI. El Diagnóstico o Auditoría de Tecnología de Información (TI) es el proceso de evaluación y recolección de evidencias de los Sistemas de.

Publicada porAraceli Espana Modificado hace 9 años

Presentaciones similares

Presentación del tema: "Diagnóstico TI. El Diagnóstico o Auditoría de Tecnología de Información (TI) es el proceso de evaluación y recolección de evidencias de los Sistemas de."— Transcripción de la presentación:

1 Diagnóstico TI

2 El Diagnóstico o Auditoría de Tecnología de Información (TI) es el proceso de evaluación y recolección de evidencias de los Sistemas de Información y recursos relacionados a éstos, dentro de una Organización; por ejemplo: infraestructura, bases de datos, aplicaciones, personal, etc.

3 Diagnóstico TI El Objetivo General del diagnóstico es determinar la salud del Sistema de Información de la Organización, encontrando las debilidades del mismo para diseñar e implementar los controles necesarios para que los Sistemas de Información de la Organización funcionen correctamente.

4 Tareas 1. Estudiar a la Organización. Es importante conocer la organización para poder desarrollar conclusiones ad hoc al finalizar el diagnóstico. 2. Se deben conocer la Misión, Visión y Plan Estratégico de la Organización, para entender el negocio de ésta.

5 Tareas 3. Se deben conocer los procesos de negocio y de apoyo al negocio, para identificar los posibles problemas en los procesos. Si los procesos no están formalizados hay que generar un borrador que nos servirá en el diagnóstico como evidencia, en especial en la etapa de desarrollo de conclusiones.

6 Tareas 4. Se debe identificar al entrevistado principal y a los entrevistados secundarios. No basta con entrevistar a una persona. Siempre es bueno contar con las respuestas al cuestionario de varios integrantes de la organización. La elección de los entrevistados secundarios no debe obedecer al área de diagnóstico solamente, sino que a todas las áreas en el que el diagnóstico pueda repercutir. En el caso de la seguridad de la información, ésta es transversal a la organización. Es un error pensar que solo obedece al área de las Tecnologías de la Información y Comunicaciones y/o la Informática. El principal objetivo de este ejercicio es por un lado i) validar las respuestas del entrevistado principal y por otro lado, ii) tener una estimación del conocimiento por parte de los integrantes de la organización respecto a los procesos y políticas de la organización (Plan de Comunicaciones de la organización).

7 Tareas 5. Se debe elegir el cuestionario adecuado al diagnóstico o auditoría que se quiere realizar; por ejemplo un cuestionario para la norma ISO 27000. Si es necesario se puede diseñar un cuestionario a la medida para la organización. Es muy importante recalcar en este punto que las preguntas del cuestionario deben ser lo más claras posibles, no debe haber cabida a la interpretación de éstas. 6. Se debe aplicar el cuestionario rígidamente. En este punto el entrevistador debe ser muy profesional. Cualquier pregunta no respondida o mal respondida puede llevar al diagnóstico al fracaso. Para que esto no suceda, el entrevistador debe pedir evidencia de cada respuesta de los entrevistados.

8 Tareas 7. Extraer datos del diagnóstico y convertirlos en información. Para esto se pueden generar gráficos de las distintas áreas de incidencia (por ejemplo: terremotos, inundaciones, etc.). La información de los gráficos debe ir normalizada. Para normalizar la información basta con llevar la información del cuestionario a porcentajes. El resultado visual de los gráficos es el porcentaje de completitud del diagnóstico en el área de incidencia.

9 Tareas 8. Priorizar los resultados. Implantar un Sistema de Gestión de Seguridad de la Información es un proceso largo. Es muy importante al diseñar la implementación de un SGSI partir por un área o departamento, etc. Una metodología, para saber dónde empezar, es la Priorización de las áreas de incidencias. Esta tarea se lleva a cabo tomando en cuenta los siguientes factores: La opinión del entrevistado principal La misión de la organización La visión de la organización Plan estratégico de la organización

10 Tareas Esto nos llevará a la organización de los gráficos por prioridad en vez de por porcentaje de completitud. La priorización es factor multiplicativo que se le aplica a los gráficos obtenidos. Un ejemplo sencillo sería utilizar la siguiente priorización: 1: Nivel de Prioridad Alto 0: Nivel de Prioridad Medio -1: Nivel de Prioridad Bajo Así, las áreas de incidencia prioritarias ‘1’ serán siempre positivas y se fijarán sobre el eje X de la gráfica, la ‘2’ se fijarán en el eje X de la gráfica y las ‘-1’ serán negativas y se fijarán bajo el eje X de la gráfica. En este punto es importante mencionar que el entrevistador debe llevar la entrevista de prioridades respecto a los 3 últimos factores mencionados en el párrafo anterior (Misión, Visión y Estrategia). Así se refuerza el punto 1 y 2 de este texto, donde se manifiesta la importancia de estudiar a la organización. Observación: solo como recordatorio s importante recalcar lo importante que es que el entrevistador tenga conocimiento de la organización, de otro modo, la priorización de áreas de incidencia podría no funcionar, pues para el entrevistado principal todas las áreas de incidencias tienen, por lo general, igual relevancia.

11 Tareas 9. Elección áreas de incidencia para su análisis. Como se dijo en el punto 8 la priorización es la metodología que se utilizará para la elección de las áreas de incidencias a analizar, sin embargo hay que tomar otro factor en cuenta, el tiempo. Generalmente los proyectos a largo plazo como la implementación de un SGSI deben ser ingresados dentro del Plan operativo Anual del Gerente TI, por lo que las áreas a analizar deben cumplir con esta restricción de tiempo.

12 Tareas 10. Clasificación de los Riesgos. Si bien en el punto 8 y 9 se puede desprender una suerte de clasificación, no lo es, pues solo nos ayuda a saber qué riesgos tratar primero y cuales después. Para entender un poco mejor este punto, aclaremos que cada pregunta del cuestionario es un posible y latente riesgo o amenaza. Los riesgos o amenazas, se pueden clasificar en:

13 Tareas Tratados: son los riesgos en que la organización utilizará recursos para tratarlos, es decir, la organización se hará cargos de ellos. Generalmente estos riesgos son críticos para la continuidad del negocio y no se pueden tercerizar. Las razones pueden ser variadas, pero por lo general están relacionadas a la confidencialidad de los procesos de negocio de la organización. Tercerizados: son los riesgos que la empresa por alguna razón no puede tratar y debe darle esta responsabilidad a un tercero. Generalmente son riesgos, que aunque puedan afectar a la continuidad del negocio, no tienen tanto impacto como los riesgos tratados. Adoptados: son riesgos con los cuales la Organización vive. Estos no afectan a la continuidad del negocio.

Descargar ppt "Diagnóstico TI. El Diagnóstico o Auditoría de Tecnología de Información (TI) es el proceso de evaluación y recolección de evidencias de los Sistemas de."

Presentaciones similares

ESTRATEGIA E-BUSINESS

ESTRATEGIA E-BUSINESS
Administración moderna de la seguridad

Administración moderna de la seguridad
PLAN ESTRATÉGICO Introducción 1.- Definición.

PLAN ESTRATÉGICO Introducción 1.- Definición.
SEMINARIO DE AUDITORÍA INTEGRAL

SEMINARIO DE AUDITORÍA INTEGRAL
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
SistematizaciÓn DE EXPERIENCIAS.

SistematizaciÓn DE EXPERIENCIAS.
DISEÑO DE EXPERIMENTOS

DISEÑO DE EXPERIMENTOS
PLANEACIÓN ESTRATÉGICA

PLANEACIÓN ESTRATÉGICA
Auditoría. Concepto Conceptualmente la auditoría, toda y cualquier auditoría, es la actividad consistente en la emisión de una opinión profesional sobre.

Auditoría. Concepto Conceptualmente la auditoría, toda y cualquier auditoría, es la actividad consistente en la emisión de una opinión profesional sobre.
Ejemplo La empresa Producciones Valencianas, en el análisis de sus operaciones del último trimestre, muestra una disminución de la producción en comparación.

Ejemplo La empresa Producciones Valencianas, en el análisis de sus operaciones del último trimestre, muestra una disminución de la producción en comparación.
¿Como llegar a donde quiere llegar una ciudad? Modulo 5 Programas de actuación y sesiones de priorización Metodología para planificación participativa.

¿Como llegar a donde quiere llegar una ciudad? Modulo 5 Programas de actuación y sesiones de priorización Metodología para planificación participativa.
Análisis y gestión de riesgos en un Sistema Informático

Análisis y gestión de riesgos en un Sistema Informático
COMPONENTES ESTRATÉGICOS

COMPONENTES ESTRATÉGICOS
SISTEMA DE GESTIÓN PARA LA CONTINUIDAD DEL NEGOCIO QUE GARANTICE A LA COOPERATIVA DE AHORRO Y CRÉDITO “ATUNTAQUI LTDA.” LA CAPACIDAD DE OPERAR EN FORMA.

SISTEMA DE GESTIÓN PARA LA CONTINUIDAD DEL NEGOCIO QUE GARANTICE A LA COOPERATIVA DE AHORRO Y CRÉDITO “ATUNTAQUI LTDA.” LA CAPACIDAD DE OPERAR EN FORMA.
Ciclo PDCA.

Ciclo PDCA.
Metodología – Procesos Psicológicos Básicos Prof: Julio Santiago

Metodología – Procesos Psicológicos Básicos Prof: Julio Santiago
Auditoria de Sistemas Ing. En Sist. Héctor Samuel Recinos Agustín.

Auditoria de Sistemas Ing. En Sist. Héctor Samuel Recinos Agustín.
Conjunto de características personales que se relacionan directamente con el desempeño a nivel laboral y son derivadas de la suma de los conocimientos,

Conjunto de características personales que se relacionan directamente con el desempeño a nivel laboral y son derivadas de la suma de los conocimientos,
Modelo de Comunicación y Operación COPARMEX. Agenda  Introducción  Plan de trabajo y avances  Definición de próximos pasos.

Modelo de Comunicación y Operación COPARMEX. Agenda  Introducción  Plan de trabajo y avances  Definición de próximos pasos.
Tema 3. Plan de Mejora.

Tema 3. Plan de Mejora.

Presentaciones similares

Anuncios Google